Oktober 17, 2019

Richtlinie zur Aufbewahrung von Unterlagen: Was muss behalten und was vernichtet werden

 

„Ich denke, wir müssen das grundlegende Design der Art und Weise, wie jedes einzelne Dokument erstellt und verwaltet wird, ändern“, kommentierte Bill Anderson vom US-amerikanischen Cybersicherheitsunternehmen OptioLabs in einem cnet.com-Artikel zu den Panama Papers.

Die Panama Papers sind ein aktuelles Beispiel für einen massive Datenschutzverstoß, in bei dem Millionen von vertraulichen Unterlagen einer panamaischen Anwaltskanzlei an die Öffentlichkeit gelangten und Offshore-Bankkonten – und mögliche Steueroasen – vermögender Kunden offengelegt wurden.

Das Wissen darüber, wie lange Unterlagen aufbewahrt werden und welche permanent vernichtet werden müssen, sollte allen ein wichtiges Anliegen sein, insbesondere zum Ende des Finanzjahres, wenn Informationsdiebe auf Hochtouren laufen.  Beispielsweise berichtet der Telegraph, dass im letzten Jahr 17.000 betrügerische oder falsche Rückzahlungsansprüche bei der britischen Finanzbehörde HM Revenue and Customs eingereicht wurden, welche möglicherweise einen Gesamtwert von bis zu £100 Millionen haben.
 
Kriminelle erstellen gefälschte Steuererklärungen und versenden betrügerische Phishing-E-Mails, die nach Kundendetails fragen.

Obwohl es viele Aspekte der Informationssicherheit gibt, ist eine solide Richtlinie zur Aufbewahrung von Unterlagen einer der wichtigsten.   

Hier einige Leitlinien dafür.

  • Informationsprüfungen: Nutzen Sie Prüfungen zur Identifizierung der Arten von Dokumenten, die das Unternehmen generiert, sowie zur Erstellung und Instandhaltung eines Inventars.
  • Wie lange müssen MwSt.-Unterlagen aufbewahrt werden? Datenaufbewahrung hat zwei Aspekte: wie lange Unterlagen für das Unternehmen nützlich sind, und wie lange sie auf Basis von Regierungs- und Branchenanforderungen aufbewahrt werden müssen. Beispielsweise müssen im Vereinigten Königreich Unterlagen zur Mehrwertsteuer (MwSt.) mindestens 6 Jahre lang aufbewahrt werden. Jedes Unternehmen muss die jeweils anwendbaren Gesetze evaluieren.
  • Geldstrafen – in beiden Fällen: Es ist zwar gesetzlich vorgeschrieben, gewisse Unterlagen für eine Mindestzeit aufzubewahren, aber auch wenn Sie Belege zu lange aufbewahren, riskieren Sie möglicherweise rechtliche Maßnahmen und Geldstrafen. Wie die meisten Datenschutzvorschriften schreibt auch das Datenschutzgesetz vor, dass Belege sicher vernichtet werden müssen, wenn die offizielle Aufbewahrungsfrist vorbei ist.
  • E-Mails: Zu den Belegen gehören Papierakten, digitale Unterlagen und Korrespondenz, einschließlich E-Mails. Laut wired.com umfasste der Panama Papers-Leak mehr als 4,8 Millionen E-Mails (sowie 3 Millionen Datenbankdateien und 2,1 Millionen PDFs). Wenn E-Mails keinen wichtigen geschäftlichen oder gesetzlichen Verwendungszweck haben oder der Erfüllung gesetzlicher Auflagen dienen, sollten Sie sie innerhalb des angemessenen Zeitrahmens löschen.
  • Einfacher Zugang: Indizieren Sie alle Dokumente, um sie leicht wiederzufinden. Bewahren Sie sie an einem sicheren, verschlossenen Ort und/oder in einer passwortgeschützten Datei auf. Beschränken Sie den Zugang, sodass nur diejenigen Arbeitnehmer, die die Informationen für ihre Tätigkeit benötigen, Zugriff haben. Die Aufbewahrung nicht benötigter Informationen erhöht das Risiko einer Sicherheitsverstoßes, nimmt Platz weg und kostet Geld.
  • Sichere Entsorgung: Die einzige akzeptable Art der Entsorgung von nicht mehr benötigten Papier- oder digitalen Dokumenten ist deren komplette Vernichtung. Die Vernichtung ist eine gesetzliche Anforderung für viele Dokumente, und das Outsourcing eliminiert Risiken. Arbeiten Sie mit einem angesehenen Vernichtungsunternehmen zusammen, welches sichere, lückenlose Protokollierungsprozesse für die Informationsvernichtung bietet. Ein Vernichtungszertifikat dokumentiert Compliance und sollte nach jeder Aktenvernichtung ausgestellt werden.  

Verwenden Sie diesen Leitfaden zur Aufbewahrung von Unterlagen, um den für Ihr Unternehmen geeigneten Aufbewahrungsplan zu erstellen.

  • Risikomanagement für vertrauliche Informationen